セキュリティ研究者は、VNC技術を利用して被害者のスマートフォンの動作を記録・放送し、攻撃者がキーボードの操作やアプリのパスワードを収集できるようにする新しいAndroidマルウェアを発見しました。
Vultur, with a V for VNC
New Android RAT Vultur using keylogging and VNC-based screen recording to target banking apps.
オランダのセキュリティ企業であるThreatFabric社が2021年3月に初めて発見したVulturと名付けられたこの新しいマルウェアは、感染したスマホ上でVNCサーバーを起動させ、画面キャプチャーを攻撃者のコマンド&コントロール・サーバーに配信して、Vulturのオペレーターが目的のアプリのパスワードを搾取します。
以下は、ThreatFabricのレポートに記載されているVulturの特徴の概要です。
- Vulturはバンキング・トロイの木馬として認識されている。Androidのバンキング・トロイの木馬にはリモート・アクセス・トロイの木馬(RAT)によく見られる機能が搭載されており、攻撃者がデバイスを完全に制御できるようにする
- Vulturは現在、「Brunhilda」というマルウェア(PDF)に感染した端末にインストールされている。「Brunhilda」は、Google Playストアに侵入し、他のマルウェアの「ドロッパー」として機能することが知られている
- Vulturは、ユーザーが「アクセシビリティ」のアクセス権を与えた場合にのみ、デバイスを完全に制御することに成功する
- Vulturは、ユーザーがアンインストールする画面に移動すると、自動的に「戻る」ボタンを押す
- Vulturが被害者の画面を配信するたびに、Androidの通知パネルに「Protection Guard」のインジケーターが点灯するため、ユーザーはVulturの動作を確認することができる
- Vulturは、VNC経由でキー操作を収集する以外にも、被害者が貴重なターゲットであるかどうかを判断するために、インストールされているアプリのリストをマルウェアのオペレータに送信することができる
- ThreatFabric社は、Vulturがこれまでに5,000人から8,000人のユーザーを感染させたと推定している
- イタリア、オーストラリア、スペイン、オランダ、英国の銀行のモバイルバンキングアプリを標的としている
- また、暗号通貨のモバイルウォレットやソーシャルメディアのアプリも標的とし、認証情報を盗む
- ThreatFabric社によると、コードレベルでの調査により、Brunhildaの開発者との類似性や関連性が発見された。
Comments